Sudo: patch correttiva per il bug di pwfeedback

Sudo (switch user do o Super-user do) è un'utility che possiamo trovare in diversi sistemi operativi Unix-like, viene utilizzata per ottenere in modo temporaneo i permessi di utente root. Spesso Sudo viene utilizzato per eseguire applicazioni che necessitano di operare su file riservati agli amministratori di sistema. Nei giorni scorsi il team di sviluppatori di sudo ha rilasciato un nuovo bugfix che va correggere una vulnerabilità ormai vecchia di 9 anni.

Il bug in oggetto permetteva di ottenere i privilegi dell'utente di root senza alcun tipo di restrizione. La vulnerabilità, etichettata come CVE-2019-18634, era originata da un problema di buffer overflow presente in Sudo fin dalla build 1.7.1. Questa problematica si concretizzava esclusivamente nelle configurazioni in cui era abilitata un opzione chiamata pwfeedback, ovvero l'impostazione che consente di ottenere un feedback visivo dell'inserimento della password dell'utente.

Con l'opzione pwfeedback attiva, per un utente non inserito nel sudoers sarebbe stato possibile ottenere tutti i privilegi generalmente accordati ad un amministratore. Nello specifico il sudoers (directory /etc) è un file di configurazione all'interno del quale vengono elencati anche tutti gli utenti che possono ottenere una temporanea escalation dei privilegi.

Sia gli sviluppatori di Apple che il team di Debian Linux hanno già implementato la patch correttiva per la rimozione del bug nei rispettivi pacchetti di Sudo. Le distribuzioni che presentano l'opzione pwfeedback disattivata, come ad esempio Ubuntu Linux, non sono interessate direttamente dalla problematica descritta, ma presto il bugfix sarà disponile per tutti i sistemi basati sul kernel del "Pinguino".

Via ArsTechnica